How can I tell if an email from my CEO or executive is actually legitimate?

Never reply to an email requesting a wire transfer without independently verifying the request through a known phone number from your company directory. Call the executive directly, or ask their assistant to confirm. Legitimate executives understand and expect this verification process, especially for unusual or large transfers. Do not use contact information provided in the suspicious email, as that may also be compromised.

What should I do if I've already sent money to a fraudulent wire transfer?

Contact your bank immediately and request that they initiate a recall of the wire transfer. While recovery is difficult after funds clear, some banks can block transfers before they reach the destination account. Simultaneously, report the fraud to your company's security and legal teams, and file a report with the FBI's Internet Crime Complaint Center (IC3) at ic3.gov. Document all details of the transaction and communication for law enforcement.

Can email spoofing defeat our email security systems?

Email spoofing can bypass basic security measures, especially if your company has not implemented SPF, DKIM, and DMARC authentication protocols. However, even with these tools in place, attackers can compromise legitimate employee accounts or create lookalike domains that appear nearly identical to your domain. This is why voice verification remains the most reliable protection against BEC scams, as it confirms identity through direct communication.

Our company processes dozens of wire transfers daily. How can we maintain security without slowing down operations?

Implement tiered verification procedures based on transfer amount and frequency. Small, routine transfers to known vendors may require only email verification, while large transfers or new payment destinations should always require voice confirmation from at least two authorized personnel. Use pre-approved vendor lists and payment accounts to expedite routine transactions while adding checkpoints for unusual requests.

How do scammers research my company's structure and processes?

Attackers gather information from LinkedIn, company websites, press releases, SEC filings, social media, and publicly available organizational charts. They may also subscribe to company newsletters or review published emails leaked in previous data breaches. Some criminals even conduct phishing attacks on company employees to harvest email addresses and communication patterns. This is why companies should limit publicly available organizational information and train employees to be cautious about what information they share online.

Kritisch Durchschnittlicher Schaden: $50,000 Typische Dauer: 1-30 days

Business Email Compromise (BEC) – Betrug

Business Email Compromise (BEC) – Betrug zählt zu den kostspieligsten Betrugsschemata, die Organisationen weltweit ins Visier nehmen. Bei diesen Angriffen recherchieren Kriminelle die Unternehmenshierarchie und Kommunikationsmuster und nutzen dann gefälschte oder kompromittierte E-Mail-Konten, um sich als Führungskräfte – oft als CEO oder CFO – auszugeben. Sie fordern dann dringende Überweisungen oder sensible Informationen an. Das FBI-Internetkriminalzentrum (IC3) berichtete, dass BEC-Betrügereien 2023 über 2,7 Milliarden Dollar Verlust in fast 21.000 Fällen verursachten, mit durchschnittlichen Verlusten von über 50.000 Dollar pro Vorfall. Das Besondere an BEC-Angriffen ist, dass sie legitime Geschäftsprozesse ausnutzen – die meisten Organisationen führen regelmäßig Überweisungen durch – wodurch die betrügerische Anfrage für beschäftigte Buchhaltungsmitarbeiter routinemäßig wirkt. Betrüger führen oft wochenlange Aufklärung durch, überwachen E-Mail-Muster, Finanzzyklen und Personalveränderungen, bevor sie zuschlagen. Dies ist der Grund, warum selbst sicherheitsbewusste Mitarbeiter Opfer werden können.

Häufige Methoden So erkennen Sie es So schützen Sie sich Reale Beispiele Wo melden

Häufige Methoden

• Impersonation von Führungskräften über gefälschte E-Mails: Betrüger erstellen E-Mail-Adressen, die der echten Adresse des CEO oder CFO ähneln und sich nur um ein oder zwei Zeichen unterscheiden ('[email protected]' statt '[email protected]'), oder sie kompromittieren ein legitimes internes E-Mail-Konto, um Anfragen zu senden, die direkt von der Unternehmensleitung zu stammen scheinen.
• Dringende Anfragen mit erfundenen Szenarien: Kriminelle üben Druck aus, indem sie behaupten, dass die Überweisung für eine vertrauliche Übernahme, Notfall-Lieferantenzahlung, Rechtsstreit oder zeitkritische Geschäftsmöglichkeit erforderlich ist, die aufgrund von Vertraulichkeit oder Wettbewerbsbedenken nicht mit anderen Mitarbeitern besprochen werden kann.
• Recherche und Aufklärung: Vor dem Angriff verwenden Betrüger Wochen oder Monate darauf, die Unternehmensstruktur, Finanzprozesse, Mitarbeiternamen und aktuelle Nachrichten des Zielunternehmens zu studieren, um Anfragen zu formulieren, die mit normalen Geschäftsaktivitäten übereinstimmen und realistische Szenarien referenzieren.
• Aufforderung zur Überweisung auf unerwartete Konten: Der Betrüger weist den Mitarbeiter an, Mittel auf ein Bankkonto zu überweisen, das sich vom normalen Konto des Lieferanten unterscheidet. Er behauptet, der Lieferant habe die Bank vorübergehend gewechselt, das Mutterunternehmen habe ein neues Zahlungsportal oder die Mittel sollten auf ein Treuhandkonto einer Anwaltskanzlei gehen.
• Unterdrückung von Verifizierungsversuchen: Wenn eine Frage gestellt wird, behauptet der falsche Leiter, er sitze in aufeinanderfolgenden Meetings, reise international, habe mit einem persönlichen Notfall zu tun oder könne Details nicht per E-Mail besprechen, was dem Mitarbeiter absichtlich verhindert, die Anfrage durch normale Kanäle telefonisch zu überprüfen.
• Aufeinanderfolgende Dringlichkeit und Ablenkungstaktiken: Betrüger senden Follow-up-E-Mails, in denen sie behaupten, der Deal falle auseinander, Konkurrenten seien bereit zur Übernahme oder der Lieferant werde mit einem anderen Unternehmen zusammenarbeiten, wenn nicht sofort gezahlt wird. Dies hält den Druck aufrecht und verhindert Überlegungen.

So erkennen Sie es

Unerwartete Überweisungsanforderung von der Unternehmensleitung, die Dringlichkeit oder Vertraulichkeit geltend macht: Legitime Führungskräfte nutzen selten E-Mail, um dringende Überweisungen ohne nachfolgende verbale Bestätigung oder etablierte Beschaffungsverfahren anzufordern, besonders nicht für ungewöhnliche Zahlungsziele.
E-Mail-Adresse, die der bekannten Adresse einer Führungskraft ähnelt, aber nicht identisch ist: Untersuchen Sie die vollständige E-Mail-Adresse sorgfältig – Betrüger ändern oft einen Buchstaben oder verwenden einen ähnlichen Domänennamen, der auf den ersten Blick legitim wirkt, sich aber vom bekannten Unternehmen unterscheidet.
Anforderung zur Überweisung auf ein Konto, das sich vom etablierten Zahlungsverlauf des Lieferanten unterscheidet: Wenn ein regulärer Lieferant plötzlich eine Zahlung auf ein neues Bankkonto anfordert, besonders ein internationales Konto, ist dies ein großes Warnsignal, das eine unabhängige Überprüfung auslösen sollte.
Druck, normale Genehmigungsverfahren zu umgehen oder die Anfrage geheim zu halten: Legitime Geschäftstransaktionen folgen etablierten Autorisierungsabläufen; Anforderungen, diese Kontrollen zu umgehen oder die Transaktion vor anderen Führungskräften zu verbergen, deuten auf betrügerische Absicht hin.
Vage Angaben zum Überweisungszweck gepaart mit Weigerung, Details zu besprechen: Betrüger machen nur minimale Angaben zum Transaktionszweck und weigern sich, näher darauf einzugehen, und berufen sich auf Vertraulichkeit, während legitime Geschäftsanfragen typischerweise detaillierte Bestellungen, Rechnungen oder Verträge enthalten.
Inkonsistenter Kommunikationsstil oder Grammatikfehler in E-Mails von Führungskräften: Wenn E-Mails von einer Unternehmensführungskraft ungewöhnliche Formulierungen, Grammatikfehler oder einen Ton enthalten, der sich von ihrem normalen Kommunikationsstil unterscheidet, kann dies auf ein kompromittiertes oder gefälschtes Konto hindeuten.

So schützen Sie sich

Etablieren Sie ein Überweisungsverifizierungsprotokoll, das eine verbale Bestätigung erfordert: Vor der Verarbeitung einer Überweisungsanforderung verlangen Sie, dass Mitarbeiter den Anfragensteller unter Verwendung einer Telefonnummer aus dem internen Verzeichnis des Unternehmens anrufen (nicht eine Nummer, die in der E-Mail angegeben ist), um die Anfrage, den Betrag und das Zahlungsziel mündlich zu bestätigen.
Implementieren Sie mehrstufige Genehmigungen für Überweisungen über einem Schwellenbetrag: Verlangen Sie, dass Überweisungsanforderungen über einem festgelegten Dollarbetrag (10.000, 25.000 oder höher, abhängig von der Unternehmensgröße) von mindestens zwei autorisierten Personen genehmigt werden, wobei jeder Genehmiger die Überprüfung unabhängig durchführt.
Nutzen Sie E-Mail-Authentifizierungstechnologien: Implementieren Sie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance), um das Spoofing Ihrer eigenen Domäne zu verhindern, und schulen Sie Mitarbeiter, zu erkennen, wenn diese Schutzmaßnahmen in externen E-Mails fehlen.
Führen Sie regelmäßig Schulungen zu BEC-Taktiken für Finanz-, Buchhaltungs- und Führungskräfte durch: Bieten Sie jährliche oder halbjährliche Sicherheitsbewusstseinstrainings mit echten Beispielen von BEC-Betrügereien, Anleitung zu Verifizierungsverfahren und Simulationsübungen an, in denen Mitarbeiter üben, verdächtige Anfragen zu erkennen.
Führen Sie eine aktuelle Liste autorisierter Zahlungsziele und überprüfen Sie alle Änderungen über sekundäre Kanäle: Halten Sie eine dokumentierte Liste aller regulären Lieferanten und ihrer autorisierten Bankkontoinformationen, und verlangen Sie, dass Änderungen des Zahlungsziels direkt beim Lieferanten unter Verwendung einer bekannten Telefonnummer überprüft werden, bevor die Verarbeitung erfolgt.
Überwachen Sie Domain-Spoofing und richten Sie E-Mail-Warnungen für verdächtige Aktivitäten ein: Verwenden Sie E-Mail-Sicherheitstools, die E-Mails von externen Adressen kennzeichnen, die internen Adressen ähneln, und konfigurieren Sie Warnungen für ungewöhnliche Überweisungsaktivitäten, wie Überweisungen an neue Begünstigte oder internationale Ziele, die für Ihr Unternehmen untypisch sind.

Reale Beispiele

Der Buchhaltungsmanager eines mittelständischen Fertigungsunternehmens erhielt eine E-Mail, die vom CEO zu stammen schien und eine dringende Überweisung von 87.000 Dollar an eine Anwaltskanzlei für einen vertraulichen Übernahmeabschluss an jenem Tag anforderte. Die E-Mail stammte von '[email protected]' (tatsächlich '[email protected]' mit einem zusätzlichen 's'), und der Manager verarbeitete die Überweisung unter Zeitdruck, ohne anzurufen, um zu überprüfen. Als der tatsächliche Assistent des CEO am nächsten Morgen nachfragte, wurde der Betrug entdeckt, doch die Mittel waren bereits über Zwischenkonten in Osteuropa überwiesen worden und waren nicht wiederherstellbar.

Ein Mitarbeiter der Kreditorenbuchhaltung bei einem Gesundheitsdienstleistungsunternehmen erhielt eine E-Mail des CFO mit der Anforderung einer sofortigen Zahlung von 143.000 Dollar an einen neuen Lieferanten für IT-Infrastruktur-Upgrades. Die E-Mail betonte, dass der Deal an jenem Tag abschloss und aufgrund von Vertraulichkeit nicht mit anderen Mitarbeitern besprochen werden konnte. Der Mitarbeiter verarbeitete die Überweisung auf das bereitgestellte Konto, stellte aber später fest, dass es kein legitimes IT-Projekt gab und das E-Mail-Konto des CFO durch einen Phishing-Angriff kompromittiert worden war. Der Betrüger hatte zwei Wochen damit verbracht, die E-Mail-Kommunikation des Unternehmens zu überwachen, um Zahlungsmuster und Schlüsselpersonen zu identifizieren.

Der Controller einer Finanzdienstleistungsfirma erhielt über drei Tage mehrere E-Mails, die vom CEO zu stammen schienen und Überweisungen in Höhe von insgesamt 287.000 Dollar für eine Notfall-Lieferantenzahlung und einen Rechtsstreit anforderten. Jede E-Mail enthielt spezifische interne Verweise und Terminologie, die auf legitimes Wissen über Unternehmensabläufe hindeutete. Der Controller wurde verdächtig, als eine Folgeanforderung des 'CEO' eintraf, in der er verlangte, dass die Transaktion 'diskret' erfolgte, ohne den CFO zu benachrichtigen. Die Untersuchung ergab, dass der Angreifer das E-Mail-Konto einer jungen Marketing-Mitarbeiterin kompromittiert und es genutzt hatte, um die interne Kommunikation des Unternehmens zwei Wochen lang zu studieren, bevor er den Angriff startete.

Wo melden — Deutschland

Offizielle Stellen in Ihrer Region zum Melden dieses Betrugs.

BSI Bürger-CERT

Cyberkriminalität

Bundesamt für Sicherheit in der Informationstechnik – Warnungen und Beratung für Bürger.

Besuchen →

Polizei Online-Wache

Meldung

Online-Anzeige von Betrug bei der Polizei Ihres Bundeslandes.

Besuchen →

Verbraucherzentrale

Verbraucherschutz

Beratung für Verbraucher bei Online-Betrug und Phishing.

Besuchen →

BaFin Verbraucherschutz

Finanzaufsicht

Bundesanstalt für Finanzdienstleistungsaufsicht – Anlagebetrug und Banken-Beschwerden.

Besuchen →

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), business email compromise (bec) – betrug is described at https://scamlens.org/de/encyclopedia/business-email-compromise.

https://scamlens.org/de/encyclopedia/business-email-compromise

Hier starten

Sicherheitsprüfung

Intelligence

Tools & Berichte

Premium-Dienste

Erweiterung & API

Business Email Compromise (BEC) – Betrug

Häufige Methoden

So erkennen Sie es

So schützen Sie sich

Reale Beispiele

Wo melden — Deutschland

BSI Bürger-CERT

Polizei Online-Wache

Verbraucherzentrale

BaFin Verbraucherschutz

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide